سپوف ٹوکن کو سمجھنا اور اس سے کیسے بچنا ہے۔

پڑھنے کا وقت: 5 منٹ

اثاثوں کی حفاظت اور حفاظت اس بات میں بہت زیادہ فرق ڈالتی ہے کہ صارفین اپنی سرمایہ کاری سے کتنی رقم کماتے ہیں۔ اور اس لیے Web3 میں باخبر رہنے اور باخبر رہنے کے لیے یہاں ایک سیکیورٹی بلاگ ہے۔

کریپٹو کرنسی اپنے اتار چڑھاؤ کے لیے مشہور ہیں۔ یہ بتاتا ہے کہ سرمایہ کاری کے فیصلے کرنے میں اثاثہ کی قیمت کتنی اثرانداز ہوتی ہے۔ ہیکرز کے لیے قیمتوں کے ساتھ کھیلنے اور صارفین کو ان کے فائدے کے لیے دھوکہ دینے کے لیے ایک کیچ ہے۔ 

کوئی بھی جو ایک مشکل کرپٹو سرمایہ کار ہے اسے ایسی صورتحال کا سامنا کرنا پڑے گا جس میں کرپٹو ٹوکن کی قیمتوں میں ہیرا پھیری کرکے مایوسی یا امید پرستی کا بھرم پیدا کیا جاتا ہے۔ اس سے صارفین انہیں خریدنے کے لیے آمادہ کریں گے اور بعد میں پائیں گے کہ وہ جعل سازی میں پڑ گئے ہیں۔ 

تو، جعل سازی کیا ہے؟ ان کی شناخت کیسے کریں اور اپنے پیسے کو ہوا میں غائب ہونے سے بچنے کے لیے ہوشیار رہیں؟ ہم اس بلاگ میں یہ سب احاطہ کریں گے۔ 

'اسپوفنگ' - ایک مختصر میں

ایک وسیع پیمانے پر متوقع ٹوکن جس کا صارف خریدنے کا انتظار کر رہا ہے آخر کار اسی علامت اور آفیشل لوگو کے ساتھ لانچ کیا گیا ہے۔ اور بڑے جوش و خروش کے ساتھ، صارف انہیں خریدنا چاہتا ہے۔

لیکن صارف ٹوکنز کی صداقت پر کیسے قائل ہوتا ہے اور ان کی بڑی تعداد میں خریداری کرتا ہے؟ 

صارف کو بلاک ایکسپلورر پر پتہ چلتا ہے کہ ٹوکن کی منتقلی سے وابستہ ایڈریس متاثر کن/سرکاری شخصیات ہیں۔ 

یہ وہ جگہ ہے جہاں ہیکر نے ایڈریس سے ہیرا پھیری کی۔ ٹوکن، اسے ایسا لگتا ہے کہ یہ کسی معروف اثر و رسوخ کے ایڈریس سے منسلک ہے۔ اسے دیکھ کر، صارفین شوق سے ان ٹوکنوں کی تجارت میں مشغول ہو جاتے ہیں اور یہ مانتے ہیں کہ وہ اصلی ہیں۔ 

پردے کے پیچھے - ہیکر نے یہ کیسے کیا؟

سمارٹ معاہدوں میں ٹرانسفر ڈیٹا کو آسانی سے تبدیل کیا جا سکتا ہے۔ لہذا، اس کا استعمال کرتے ہوئے، حملہ آور کسی دوسرے سے ایڈریس کو تبدیل کر دے گا، حالانکہ وہ ہے جو لین دین شروع کرتا ہے۔

آئیے ایتھرسکین میں ٹوکن کی منتقلی کو دیکھتے ہیں تاکہ سپوف ٹوکن کی منتقلی کی بہتر وضاحت ہو۔ 

اس میں آپ Vitalik کا پتہ دیکھ سکتے ہیں 0xab5801a7d398351b8be11c439e05c5b3259aec9b کو zkSync ٹوکن موصول ہوئے ہیں۔ 

ٹوکن کسی سے بھی وٹالک کے پتے پر منتقل ہو سکتے ہیں، جو کوئی بڑی بات نہیں ہے۔ 

لیکن، اس میں، آپ دیکھ سکتے ہیں کہ Vitalik ٹوکن بھیجتا ہے۔ لہذا، یہ صارفین کو یہ سوچنے پر آمادہ کرے گا کہ Vitalik کی طرف سے بھیجے گئے یہ ٹوکن ایک حقیقی جیک پاٹ ہوں گے۔ 

لیکن یہ سچ نہیں ہے! آئیے معلوم کریں کہ آگے کیا ہے!

وٹالک نے منتقلی شروع نہیں کی تھی، لیکن معاہدے کے مالک نے جس نے لین دین شروع کیا تھا، ایسا لگتا ہے کہ اسے وتالک نے بھیجا تھا۔ یہ وہ جگہ ہے جہاں بلاک ایکسپلورر کو ہیرا پھیری سے متعلق لین دین کو ظاہر کرنے کے لیے جعل سازی کی جاتی ہے، کیونکہ بلاک ایکسپلورر صرف واقعات پڑھ سکتا ہے۔ 

یہ ٹرانزیکشن کی تفصیلات کو دیکھ کر معلوم کیا جا سکتا ہے، جو واضح طور پر ظاہر کرتا ہے کہ ابتدائی پتہ (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) نے ٹرانزیکشن کے ساتھ ہیرا پھیری کرتے ہوئے اسے Vitalik کی طرف سے کیا تھا۔  

قریب سے دیکھنے پر، آپ ان پٹ ڈیٹا کو Vitalik کے ایڈریس کے ساتھ فیڈ کر سکتے ہیں۔ یہ بھی معاہدہ میں سخت کوڈ کیا جا سکتا ہے.

مزید، ڈی کمپائلنگ پر، ہم ایک غیر معیاری ٹرانسفر فنکشن تلاش کر سکتے ہیں جس کے لیے ان پٹ لیتا ہے۔ ایڈریس سے اور ٹرانسفر ایونٹ کا آغاز کرتا ہے۔ اور یہ وہ جگہ ہے جہاں کنٹریکٹ کے مالک نے Vitalik کا پتہ درج کیا ہے تاکہ یہ معلوم ہو کہ وہ ٹرانسفر کر رہا ہے۔

ٹوکن کی منتقلی میں حادثات

یہ ہے کہ صارف کس طرح فرام ایڈریس کو ٹرانزیکشن شروع کرنے والے کا پتہ سمجھتا ہے۔ جعل سازی کی چال ERC-20 ٹوکن کے ڈیزائن کے معیار اور بلاک ایکسپلورر کے شفاف ڈیٹا ڈسپلے کا فائدہ اٹھا کر صارف پر کامیاب حملے کرنے کے لیے کام کرتی ہے۔ 

ERC-20 معیار کی منتقلی اور منتقلی سے فنکشنز کسی بھی صوابدیدی ایڈریس کو ٹوکن بھیجنے والے کے طور پر شامل کرنے کی سہولت فراہم کرتے ہیں اور یہ کہ From ایڈریس کو معاہدے کے ابتدائی پتہ سے تبدیل کیا جاتا ہے۔ 

بلاک ایکسپلوررز جیسے Etherscan tx انیشی ایٹر ایڈریس کی بجائے From کا پتہ دکھاتا ہے، جس کے نتیجے میں صارف بے قیمت ٹوکن حاصل کرتا ہے۔ 

سپوف ٹوکن سپیم کا کوئی حالیہ واقعہ؟

صارف کی طرف سے کرپٹو کرنسی کے عطیات کو انعام دینے کے لیے یوکرین کے "ایئر ڈراپ" کا حالیہ اعلان ٹوئٹر ہینڈلز پر پوسٹ کیا گیا تھا۔

ماخذ: Ukraine / Україна Twitter پر: “Airdrop کی تصدیق ہوگئی۔ سنیپ شاٹ کل، 3 مارچ کو، شام 6 بجے Kyiv وقت (UTC/GMT +2 گھنٹے) پر لیا جائے گا۔ پیروی کرنے کا انعام! @FedorovMykhailo" / Twitter پر یوکرین کی کرپٹو عطیہ مہم کے بعد آنے والی خبروں پر عمل کریں۔

اس کے فوراً بعد، Ethereum کے بلاک ایکسپلورر Etherscan نے خفیہ کرپٹو ایئر ڈراپ کے لیے یوکرین کا سرکاری پرس ظاہر کیا جس میں 7 بلین "پرامن دنیا" کے ٹوکن تھے۔ 

یوکرین کے سرکاری بٹوے سے کرپٹو والیٹ ایڈریس پر ٹوکن بھیجنے کی سرگرمیاں بھی تھیں جو یوکرین کے فنڈز میں عطیہ کرتے تھے۔ 

لیکن حکام کی جانب سے ابتدائی پوسٹ کے بعد آفیشل ایئر ڈراپ ایونٹ کی کوئی تفصیلات نہیں تھیں (جیسا کہ ٹوکن کی قسم یا لانچ کیے جانے والے ٹوکنز کی تعداد وغیرہ)

بعد میں، بلاکچین تجزیہ کاروں نے اس بات کی تصدیق کی کہ پرامن دنیا (ورلڈ) کے ٹوکنز ایک دھوکہ ہو سکتے ہیں، اور ایتھرسکن نے انہیں "گمراہ کن" کے طور پر ٹیگ کیا اور انہیں سپام کے طور پر نشان زد کیا۔ 

اس مثال سے پتہ چلتا ہے کہ کیسے یوکرین کا پرس ایڈریس جعلی ایئر ڈراپ لانچ کرنے کے لیے استعمال کیا جا رہا ہے۔- ٹوکن سپوفنگ کی ایک مثال۔ 

سپوف ٹوکن خریدنے سے کیسے بچیں؟

بہترین طریقہ یہ ہے کہ لین دین کی تفصیلات کو کھودیں اور یہ دیکھیں کہ آیا ٹوکن ٹرانسفر کا منجانب ایڈریس اور انیشیٹر ایڈریس ایک جیسا ہے۔

اگرچہ مختلف پتوں سے شروع کی گئی تمام ٹوکن کی منتقلی ضروری طور پر دھوکہ نہیں ہو سکتی، ایتھر سکین میں 'ٹوکن نظر انداز کرنے کی فہرست' کی خصوصیت کا استعمال کرتے ہوئے جو اس زمرے میں مشکوک ٹوکن کی فہرست دیتا ہے، صارفین ہوشیار رہ سکتے ہیں اور ان ٹوکنز پر نظر رکھ سکتے ہیں جن کے ساتھ وہ تعامل کرتے ہیں۔ 

ویب 3 سیکیورٹی میں کوئل آڈٹس 

QuillAudits ویب 3 ہیکس کے خلاف چوکس رہنے کے لیے سمارٹ کنٹریکٹ آڈٹ اور مستعدی کی خدمات فراہم کرکے قائم اور بڑھتے ہوئے وینچرز کو تحفظ فراہم کرنے والی ایک سرکردہ سیکیورٹی فرم ہے۔ 

صرف 10 منٹ میں مفت مشاورت کے لیے ہمارے ماہرین سے رابطہ کریں: 

https://t.me/quillaudits_official

15 مناظر